Nederlandse onderwijsfunctionarissen zeggen dat de fraudebestrijdingssoftware van Proctorio studenten blootstelt aan hackers

Van goed-tu-[but-in-Dutch] afdeling

Spyware is spyware. Het maakt niet uit wie het gebruikt. Proctorio, een fabrikant van snitchwear die scholen helpt, is ervan beschuldigd de DMCA te hebben misbruikt om beveiligingsonderzoekers het zwijgen op te leggen die fouten ontdekten in software voor bewaking op afstand. Er zijn valse beweringen gedaan en Proctorio wordt momenteel vervolgd door de EFF en zijn audit is een doelwit van onzin.

Het duurt even voordat iemand de alomtegenwoordige anti-cheat-spyware gebruikt om de camera’s en microfoons van studenten te controleren en hun internetactiviteit te controleren om er zeker van te zijn dat ze niet op internet zoeken. Vind antwoorden op tests. Het is een gecentraliseerde kracht die wordt aangedreven door uitgebreide, verplichte machtigingen. Vroeg of laat wordt er misbruik van gemaakt. Als we naar Proctorio kijken, lijkt het erop dat er soms meer interesse is in het kalmeren van critici dan in het aanpakken van de nadelen van zijn software.

RTL Nieuws meldt dat scholieren in Nederland mogelijk al maanden met gecompromitteerde computers werken. Dankzij de exploitatie van Proctorio’s anti-cheat software.

Tienduizenden Nederlandse scholieren worden al maanden gemakkelijk gehackt omdat ze door hun opleiding gedwongen werden om onveilige fraudebestrijdingssoftware te installeren. Zo kunnen kwaadwillenden toegang krijgen tot hun online accounts en door hun webcam sluipen.

Dit kan gevolgen hebben voor de overeenkomst van Proctorio met scholen in het land, die immers niemand anders dan Proctorio zal schaden. Het is erg moeilijk voor een bedrijf dat meldingen van beveiligingsproblemen verwelkomt met DMCA-aankondigingen en juridische dreigementen om tranen te storten. Maar studenten in Nederland zijn niet blij met de uitwisseling van docenten om fraude te verminderen.

“Het is schokkend dat we zo gemakkelijk zijn gehackt door Proctorio”, zegt Manish Ginko-Roy, voorzitter van de Studentenraad van de Universiteit van Amsterdam (UvA). De Landelijke Studenten Vakbond (LSVb) wil dat de online privacy en veiligheid van studenten beter wordt beschermd: “En we zullen niet gedwongen worden om dergelijke onveilige software te gebruiken”, zegt Ama Bohen, voorzitter van de LSVb..

Nou, dit is allemaal niet zo schokkend. Het was onvermijdelijk. Een groot gebruikersbestand, software met uitgebreide machtigingen, school- en fraudebestrijdingssoftware weerhielden studenten ervan om actie te ondernemen om hun apparaten te beschermen, een bedrijf dat represailles neemt tegen beveiligingsonderzoekers … al deze kwaadaardige hackerdromen komen uit.

Het is in dit rapport niet duidelijk hoeveel studenten zijn gehackt of welke schade de hackers hebben kunnen aanrichten buiten het heimelijk monitoren van studenten en hun online activiteiten. Maar er zijn veel dingen die hackers aantrekken. Hier is hoe dit systeem werkt wanneer studenten het examen schrijven, Volgens de in Nederland gevestigde PhD-kandidaat in de informatica.

Voordat je examen mag doen, zet Proctorio je webcam en microfoon aan. Hiermee worden alle geopende tabbladen in de browser gesloten. Het gebruikt ook de functie voor het delen van schermen in Chromium, die is geconfigureerd voor videogesprekken, om uw scherm op te nemen. U moet het identiteitsbewijs met foto op de webcam tonen om u te identificeren. Hierna wordt je gevraagd om je webcam op te pakken en je hele kamer te filmen om te bewijzen dat je alleen bent, dat je bureau schoon is en dat er geen plakbriefjes uit het zicht van de webcam steken. Hierna kunt u het examen afleggen, waarbij de microfoon en de webcam u opnemen.

Hoewel Proctorio niet actief wordt gebruikt, biedt het een aanvalsvector voor kwaadwillende hackers.

[The Proctorio hack] Dit wordt de Universal Cross-Side Scripting Attack (UXSS) genoemd. Bij een dergelijke aanval kan een crimineel de code uitvoeren op elke website die u bezoekt, bijvoorbeeld door wachtwoorden te onderscheppen of de ontvanger van de overboeking te wijzigen. Het lek zit meestal in de browser of de browser plug-in die je gebruikt.

Experts raden aan dat studenten de Proctorio-extensie verwijderen en opnieuw installeren voordat ze testen wanneer deze niet langer nodig is. Maar studenten die apparaten gebruiken die door de school worden geleverd, hebben die optie niet, d.w.z. de aanvalsvector is altijd ingeschakeld, zelfs als deze momenteel niet actief is.

Met zijn krediet heeft Proctorio enige inspanningen geleverd om de gemelde tekortkomingen te verhelpen. Maar het blijft een waanzinnige hoeveelheid toegang tot de computers van studenten eisen. En voor welke doeleinden? Om ervoor te zorgen dat enkelen in beproevingen niet worden misleid? De veiligheidsuitwisseling lijkt volledig misplaatst. Hackers kunnen Proctorio gebruiken om de online activiteiten van studenten te bespioneren, wachtwoorden van accounts te verzamelen, foto’s te maken van hun ID’s en impliciete opnames te maken.

Studenten in Nederland gebruiken natuurkundeboeken om terug te keren naar openboektentamens. Door covit-gerelateerde complicaties komt face-to-face testen minder vaak voor. Maar als studenten met offline testmateriaal werken, wordt deze aanvalsvector uitgeschakeld. Als het eindresultaat is om te ontsnappen aan de misleiding van een paar valsspelers, zal het niet anders zijn dan de bedekte scholing die eraan voorafging.

Wat is het verlies voor de samenleving, zelfs als meer studenten spieken bij het examen met de mogelijkheid die beschikbaar is via afstandsonderwijs? Als de informatie belangrijk is, zullen studenten het moeilijk vinden om na een jaar of twee testen te blijven leven. Alleen studenten die niet leren, zullen verliezen. Als ze moeiteloos door het leven gaan zonder deze informatie onder de knie te krijgen, roept dit alleen maar vragen op over de waarde van deze informatie in plaats van studenten tijd en energie te willen opofferen.

Proctorio heeft niet meer penetratie dan nodig is om de gestelde doelen te bereiken. Maar dit is niet om de beweringen van gebruikers en hun apparaten te rechtvaardigen. Dat is een beschuldiging. Studenten kunnen worden vertrouwd in afstandsonderwijs, maar als het geen afstandstests zijn, moet het onderwijssysteem meer doen dan hackbare gaten creëren die een derde partij zullen aantrekken om kwaadwillende personen uit te buiten.

Bedankt voor het lezen van dit Techdirt-bericht. We waarderen het dat je ons je tijd hebt gegeven, want er zijn tegenwoordig zoveel dingen die met elkaar concurreren om ieders aandacht te trekken. We werken elke dag hard om hoogwaardige inhoud voor onze community te publiceren.

Techdirt is een van de echt onafhankelijke media die er nog is. We hebben geen groot bedrijf en in een tijd waarin adverteerders minder geïnteresseerd zijn in het sponsoren van kleine, onafhankelijke sites – vooral een site als de onze die nog niet klaar is om de trekker over te halen voor zijn rapportage en analyse.

We staan ​​altijd open voor Techdirt, ondanks de eisen van andere websites voor registratie, vereisten en steeds irritantere / opdringerige advertenties. Maar om dat voort te zetten, hebben we uw steun nodig. We bieden verschillende manieren om onze lezers te ondersteunen, van directe donaties tot speciale abonnementen en coole producten – en alle kleine beetjes hulp. Bedankt.

– Detectivegroep

Filed Under: Valsspelen, Hacken, Spyware, Studenten, Tracking
Bedrijven: proctorio